Reprise du message précédent :

 
 
https://support.microsoft.com/fr-fr [...] rtificates
 
Certificats de démarrage sécurisé Windows arrivant à expiration en 2026
 
Pour sécuriser votre appareil Windows, Microsoft met à jour les certificats utilisés par le démarrage sécurisé, une fonctionnalité de sécurité qui permet de protéger vos appareils contre les programmes malveillants au démarrage. Ces certificats, initialement émis en 2011, doivent expirer à partir de juin 2026. Pour rester protégé, votre appareil doit avant cela recevoir un nouvel ensemble de certificats. Pour la plupart des utilisateurs, cela s’est déjà produit via les mises à jour Surface fournies via Windows Update ou se produira à l’avenir via des mises à jour de sécurité Windows régulières.
 
hein  ?
 

Win7 sp0, vraiment ? Cad même pas le sp1 qui avait des maj jusqu'à 2020. Dernière update Sp0 , c est qd, il y a 10 ans peut être ?
Au moins j'espère que son antivirus reçoit encore qques updates .
Et son navigateur, avec Win7 sp0, reçoit-il des corrections ? Utilise t-il des services de banque en ligne ou ses déclarations d' impôts sur  ce PC?
N'as tu aucun problème à le laisser avec une machine  pareille ? Cela te fait limite complice de crime si sa machine est infectée par un malware qui en fait un bot pour relayer de la m.

Et même sa machine qui a 20 ans gagnerait bcp avec un SSD. Un vieux truc de 128go d occas comme mon 1er crucial M4 serait un sacré boost.
Mais bon je vois que le Celeron 420 est un mono core à 1.6ghz, génération Conroe donc les 1ers core2duo mais en mono core. Cela reste peu utilisable.
Une upgrade CPU sur la même mobo en dual ou quad core serait salvateur et permettrait avec un SSD d installer win10 32 ou 64 bits et de recevoir encore des maj.
Le plus adapté reste un Linux light.

Plutôt que d investir qques dizaines d euros avec upgrade CPU et SSD, et bcp de temps, acheter un PC mini tour d occas irait dans une autre catégorie : je vois du i5-7500 | 8GB RAM & 256GB SSD | Windows 10 Pro sous les 100€.
On pourrait même y mettre un Win11 non officiellement.
Ou en laptop déjà sous win11
https://www.remarkt.fr/catalog/prod [...] ategory/3/

Je reviens sur ces histoires de certificats.  
 
Dans le cas d'un pc qui possède bien les nouveaux certificats 2023 dans le firmware UEFI, ces derniers ne s'installent pas si le secureboot est désactivé dans le bios.  
C'est le cas false de la première ligne de commande et true de la 2e ligne dans le crabe info.
Dans ce cas il faut activer le secureboot avant juin 2026 pour que la maj s'implémente, quitte à le redésactiver après la maj effectuée.
Il semblerait que si vous le faites après le mois de juin, on pourrait vous demander vos clés bitlocker, sauvées par défaut dans le compte msoft.
Et si pas de clés, pas d'accès au disque.
 
Attention  
 
1/ca peut devenir un runing gag si en l'activant vous avez pas fait gaff que vous étiez en disque mbr/csm, vous serez bloqué au niveau du bios.
 
2/"Dans les prochains mois, Microsoft ajoutera des messages dans l’application Sécurité Windows pour vous informer de l’état de vos certificats Secure Boot. Vous pourrez ainsi vérifier facilement si votre PC est à jour."  =  rien à ce jour, le mieux est de taper les commandes dans powershell
 
3/si vous vous êtes mis au programme esu de w10 pour reporter d'un an tous ces trucs de tpm2.0/secure boot et décaler la maintenance à octobre 2026, bah finalement non ca revient avant.
 
Parce que mine de rien juin ca arrive vite

 
Anéfé :
 
Avant :  
 

 
Après la dernière MaJ à l'instant :
 

 
Sur une machine W11, donc ce serait pareil sur une machine W10

En effet, avec windows 10 pro US avec la MAJ d'avril d'hier, dans "device security":

Le message n'est pas complet mais dit au moins qqch.  
 
Résultat du script https://github.com/cjee21/Check-UEF [...] %20DBX.ps1 sur ce PC:

 
Ce PC de 2014 (cm Asrock chipset Z87) a une implémentation UEFI pas complète qui ne supporte ni la lecture ni l'écriture des certificats par défaut, et ni l'upgrade complet vers les certificats 2023 (freeze complet), donc je reste avec ceux de 2011.

les PC Windows qui ont des bios MAJ avec les certificats 2023 sont probablement majoritairement sous Windows 11

ceux vraiment vieux sans UEFI restent sous Windows 10 ou sont passés à Linux.

ceux entre les 2, avec UEFI et SecureBoot, mais dont le bios par défaut reste aux certificats de 2011, il y a plusieurs options:
1) SecureBoot activé avec les certifs 2023 "current", cad Windows a pu mettre à jour à ceux de 2023, bien que les "default" restent sur 2011.
2) SecureBoot activé mais en restant avec 2011 en "current"
3) Désactiver SecureBoot.

En théorie, 1 est recommandé et correspond à l'idéal selon Microsoft.
Sauf que c'est pas résilient: un reset bios et tout est cassé. L outil Secure Boot recovery peut réparer, cf https://support.microsoft.com/en-us [...] esolutions comme j'en parlais sur https://forum.hardware.fr/forum2.ph [...] 0#t3472003 . Cela pourrait ne pas suffire.
Je viens d'en faire l'amère expérience sur une vieille tablette (TP8 de 2014 en 32bits) passée avec les certifs 2023, mais sur laquelle les récentes MAJ win10 ont cassé le démarrage.  J'ai pu désactivé SecureBoot, et refaire la MAJ de mars mais depuis plus moyen de retourner aux paramètres UEFI. Et MAJ avril en échec. Je viens de forcer manuellement  le retour aux certificats 2011 avec un robocopy de la partition EFI à partir de C:\Windows\Boot\EFI (vs EFI_EX qui contient les fichiers avec les certifs 2023)

J'en viens à me dire que 3  - désactiver SecureBoot - est le plus simple.

Je viens de voir que la MAJ de mes "vieux" PC Windows11 vient de faire passer le boot loader en signature CA2023.
J'ai sauvegardé les nouvelles clés currents du bios en cas de perte par reset.
Je vais vérifier la présence des nouvelles clés dans mes pc Win10, et voir si la dernière màj change aussi le boot loader sur win10...

Je suis en 1) et le jour où j'ai une merde je compte passer en 3), ça ne devrait pas poser problème, non ? Et dans ce cas là ça reste la meilleure solution, tu restes "bien" aussi longtemps que tu peux plutôt que d'abandonner directement.

A priori tu peux passer de 1 à 3 d'après copilot ...mais bon je m'y fierais pas trop...
A lire le message d'eric B avec sa tablette, c'est pas forcément le cas.
Surtout qu'il y a le problème de la clé après coup en sus.
 
ca fait pas mal de cas constatés.
 
Si on désactive le secureboot ca peut être une solution mais juste temporaire, car le problème se posera aussi sous W11 vu qu'il nécessite le démarrage sécurisé. (enfin avec une version normale)
 
Sur plusieurs configs AM4 toutes en W10 ESU, les certificats 2023 proviennent uniquement de flash bios en 2024 et 2025.
Celle où j'écris, dernier flash bios en 2022 donc avec certif 2011 et secureboot désactivé. S'il faut reflasher le bios, ca ferait chier, tous les paramètres pbo, curve, xmp ...passeraient à la trappe, il faudrait tout remettre. ( la config de jeu   )
 
Logiquement on était sensé les recevoir par les updates mais je me demande si c'est pas limité à W11, jusqu'à présent je n'en ai pas vu la couleur.
 
A noter que copilot ce jour vient de me parler de certificats expirant juin et octobre 2026, initialement c'était pas mai et juin 2026 ?
 
 
 
Maintenant il reste aussi le problème des clés.
Je voulais régler le truc sur la config en true/false (certificat présent mais non installés) et mis en quête des fameuses clés bitlocker sauf que dans le compte microsoft, il n'y a aucune clé d'enregistré.
D'après copilot, si le chiffrement bitlocker est désactivé sur le disque, il y a suppression automatique de l'ancienne clé (si clé il y avait) et donc l'activation du secureboot ne pourrait pas engendrer une demande de clé au démarrage.  
Est-ce que quelqu'un peut me confirmer cela ? Me souvenant plus si un jour j'avais chiffré le disque initialement et donc sauvegardé ces fameuses clés.

Si BL n'est pas activé / présent, y a pas de raison pour qu'une clé soit demandé après avoir activé le SB, flasher le bios ou autre ?
 
Ma CM a le SB désactivé par défaut, si je l'active, rien n'est demandé au reboot (pas de BL activé)

Bitlocker te dis si ton disque est chiffré ou pas, soit via le panneau de contrôle, soit la cmd
manage-bde -status
manage-bde permet aussi de chiffrer ou déchiffrer.

Et si chiffré, et si tu utilises un compte Microsoft, les clefs sont sur ton compte online

faut il en rire ou en pleurer      
 
https://youtu.be/-JFchGtjn7U?t=12

Peux-tu, s’il te plaît et en plus de mettre un lien canonique (soit https://www.youtube.com/watch?v=-JFchGtjn7U&t=12, en gardant le paramètre qui commence la lecture à 12 secondes) au lieu d’un lien raccourci, recopier au moins le titre de la vidéo (et idéalement un résumé, mais c’est comme tu veux), histoire de savoir rapidement de quoi il est question (surtout pour le jour où elle se fera gicler de cette poubelle à retardement qu’est YouTube) ?

+1 pour un titre au moins

Ca n'a probablement aucun intérêt, autant ne pas cliquer et ctrl+w.

Certes, surtout qu’un lien YT balancé comme ça, sans même dire de quoi il peut-être question et vu que ça doit sûrement être aussi disponible en version texte (ce qui aurait été à privilégier, au moins pour une simple question d’accessibilité), c’est clair que je cliquerai jamais dessus (même pas en passant par un frontend alternatif). Mais qu’on sache un minimum de quoi il peut être question avant d’aller voir ou non reste la moindre des corrections, potentiellement intéressant ou pas.

Il serait temps d'installer des scripts les râleurs
 
 

Ouais, alors, heu… Autant je vois l’intérêt sur le papier et veux comprendre que ce soit bien intentionné, autant ajouter un script qui ne va faire qu’alourdir encore plus les pages du forum avec l’ajout d’encarts YT (et la tonne d’appels aux pisteurs de Google qui vont avec, déjà qu’au départ, HFR en fait déjà à DoubleClick¹ et Digidip), sans vouloir te vexer, ça va juste être NOPE dans la pratique : le Web est déjà assez lourdingue comme ça (au point que je prends de plus en plus goût à le consulter via des navigateurs qui n’en affichent que les textes et liens, comme Lagrange, Links ou encore Chawan que j’ai découvert récemment), pas la peine d’en rajouter pour encore plus ralentir les chargements des pages².

Et ça n’a aucun rapport avec la qualité de ma connexion, qui dépote avec du Gigabit en filaire.

¹ Ce qui est illégal selon le RGPD, si je me souviens bien des décisions de la CNIL à propos des sites faisant appel à Google Analytics ou CloudFlare, ou affichent des bandeaux d’acceptation de cookies de pistage.

² WordPress et son éditeur de blocs qui télécharge à chaque fois vingt-cinq f××king mébi-octets, uniquement pour afficher ledit éditeur, je le digère pas.

Pour en revenir au sujet : ah, ça… Bon, j’ai déjà vu quelqu’un le poster sur Discord. Bon, ça servira à rien, comme toute manif contre la m××dification inéluctable et irrépressible de nos vies, mais disons que ça les aura occupés un peu…

Non.
Je ne vais pas "compenser" le manque de savoir vivre dans la communication (on s'adresse à tout le monde sur un forum) de certains.

Depuis la fin de XP, et donc 7 et Win 10 pour les + populaires, c'est tjs un peu le même discours: des OS en fin de vie sur des ordi qui fonctionnent encore correctement.
La particularité de Win10 est le (stupide) discours de Microsoft "Windows 10 sera le dernier Windows", suggérant des MAJ éternelles.

Mais tout cela est un peu bancal: Microsoft n'a jamais voulu maintenir des OS éternellement. Les + vieux se souviennent peut-être des 1er OS de Microsoft tous mis arbitrairement avec un "end of Life" au 31.12.2001 (MS DOS 1.x à 7.0 et Windows 1 à 95)

On peut par ex retrouver le même sujet à la fin de Win7 (janv 2020), avec ESU jusque 2023:
https://www.youtube.com/watch?v=AL2llKqJ6oI
Sous win7, ESU n'était possible qu'avec des volumes de licences, donc nada pour les particuliers en Home ou Pro.

Au moins avec Win10, Microsoft offre la 1ere année de ESU aux particuliers.

La démarche d exigence des MAJ de Windows 10 pourrait donc demander ESU complet pour tous (cad jusque oct 2028).

Mais cela ne fait que décaler la date et résout PAS le fond du pb.

AMHA, les associations devraient surtout faire pression sur le législateur en France et surtout UE pour exiger l'ouverture des systèmes en fin de vie logicielle. Comme dit et fait par ex l'association 'April' dans la video en parlant de "virus Windows" et "vente forcée avec les ordinateurs".
Par ex,

• exiger que le les "boot loader" de toute machine (que cela soit SecureBoot, les appareils Apple ou tout smartphone) passent en open source en fin de support du constructeur.
• Accompagner les utilisateurs à aller vers des systèmes open source comme Linux.

Une fois en Open source, aucune garantie que la machine fonctionne + longtemps et aussi bien, mais au moins cela décale la responsabilité du constructeur vers "la communauté".

Par ailleurs, comme dit le gars dans sa video sur win7, rien n’empêche de continuer d'utiliser une vieille machine avec un OS dépassé, si la dite machine est complètement hors ligne et reste tjs déconnectée.

edit: à part le culot, je ne vois pas trop bien l intérêt de nouvelles associations comme https://piratonsmicrosoft.fr/ (dont il est question dans la video) alors que d'autres comme April https://www.april.org/ propose la même chose depuis 30 ans!

Rien à ajouter à ce que disent mes deux VDD, mais j’ajouterai que même W11 a probablement à son tour commencé à être en fin de vie : les prochaines versions annuelles prévues pour lui sont toujours basées sur les builds 26×××, et ne seraient même que des MAJ mineures toujours basées sur le socle de la 24H2, comme les dernières versions de W10 étaient toutes basées sur celui de la 2004, avec simplement des fonctions activées en plus, quoique déjà présentes (mais actuellement bloquées).
 
Or, les préversions Insiders sont en 28×××, voire 29××× pour le nouveau canal « Experimental » qui succède à « Canary ». Ça ne m’étonnerait pas que les versions finales issues de ces builds soient réservées à ce fameux « Windows 12 » qui n’en finit plus de se faire attendre pour certains (à les lire, il aurait déjà dû sortir depuis au moins deux ans)…

VDD ?